Programma
- Opening
- Verslag voorgaande bijeenkomst vaststellen (incl. verslag van de eerste bijeenkomst)
Het verslag van de voorgaande bijeenkomst bevat tevens aanvulling op het verslag van de eerste bijeenkomst. Daarnaast is genotuleerd welke wijzigingen in het eerste verslag aangepast zijn. Bij het vaststellen van het voorgaande verslag kan daarmee tevens het verslag van de eerste bijeenkomst vastgesteld worden - Actielijst doornemen
- Verslag voorgaande bijeenkomst vaststellen (incl. verslag van de eerste bijeenkomst)
- Uniforme Beveiligingsvoorschriften
- Opzet en structuur
- Profielen, zoals voor Edukoppeling; samenvoeging van voorschriften NCSC, DK en UBV voor de leesbaarheid.
In het voorgaande overleg is besloten om aandacht te besteden aan de leesbaarheid van de voorschriften, zonder dat teveel wordt overgenomen. Dat geldt met name voor contexten die met meerdere voorschriften te maken hebben, zoals Edukoppeling. Hiervoor is een profiel opgesteld: een overzicht van alle geldende eisen met daarbij de status, bron en referentie. Vraag aan de werkgroep is of dit een passende invulling is voor de leesbaarheid. En of dit ook voor andere contexten beschreven moet worden.
Doel: vaststellen of de profielen een passende invulling is voor de leesbaarheid en voor welke contexten dit ook beschreven moet worden.
- Profielen, zoals voor Edukoppeling; samenvoeging van voorschriften NCSC, DK en UBV voor de leesbaarheid.
- Inhoudelijke punten
- Verkenning voorschriften PKI
In het voorgaande overleg is besloten dat de verschillende soorten certificaten – onder welke validatie deze is uitgegeven – te beschrijven. Op basis daarvan kunnen partijen zelf een keuze maken voor het juiste certificaat. De vraag is echter of dit voldoende is om te zorgen dat het juiste certificaat gehanteerd wordt. Dat geldt ook voor de private servercertificaten voor besloten gebruikersgroepen, die drie jaar geldig kunnen zijn en de Root CA niet publiekelijk bekend is.
Doel: verkennen of er andere eisen opgenomen moeten worden om te zorgen dat partijen de juiste certificaten toepassen. - Authenticatie en tweezijdige TLS
Bij het opstellen van het profiel voor Edukoppeling is een aantal andere mogelijke eisen naar voren gekomen. Zoals tweezijdige TLS, waarbij authenticatie plaatsvindt met het certificaat. Dit geeft – afhankelijk van het soort certificaat – betrouwbaarheid over de cliënt/afzender van de gegevensuitwisseling. Voor Edukoppeling is dit verplicht, echter zou dit voor meer contexten verplicht kunnen zijn. Bijvoorbeeld wanneer de integriteit van de cliënt (en hun OIN) noodzakelijk is (niveau 3 van het cert. schema) en of de vertrouwelijkheid hoog (niveau 3) is bij toegang tot (bijzondere) persoonsgegevens.
Doel: verkennen voor welke gegevensuitwisseling authenticatie en tweezijdige TLS verplicht gesteld moet worden. Op basis daarvan vaststellen wanneer (o.b.v. BIV-niveau) dit verplicht gesteld moet worden.
- Verkenning voorschriften PKI
- Afspraken over (uit)fasering
- TLS-configuraties ‘Uit te faseren’, zoals TLS1.0 en TLS1.1
Veel partijen hebben TLS1.0 en TLS1.1 uitgefaseerd of doen dit in 2020. Microsoft heeft de voorbereiding op TLS 1.2 voor Office 365 voor juni 2020 op de planning staan. TLS1.0 en TLS1.1 is niet (meer) toegestaan. Voor M2C kan echter een uitzondering gemaakt worden; daar kan een afspraak over vastgelegd worden.
Doel: verkennen of TLS1.0 en TLS1.1 nog gebruikt wordt. Zo ja, hoe lang we dit nog willen toestaan; komen tot een afspraak tot wanneer TLS1.0 en TLS1.1 wordt toegestaan voor M2C. - Naast TLS1.2 ook TLS1.3 voor de onafhankelijkheid en toekomstvastheid
TLS1.2 en TLS1.3 zijn de twee versies die op dit moment door NCSC als veilig worden beschouwd (classificatie ‘goed’). In de praktijk wordt echter veelal alleen TLS1.2 toegepast. Dit neemt een afhankelijkheid met zich mee, wanneer een kwetsbaarheid zich voordoet. Advies zou dan ook moeten zijn om beide versies te ondersteunen, waarmee tevens ingespeeld wordt op de toekomst: gebruik van TLS1.3.
Doel: komen tot een afspraak wanneer en voor welke situaties TLS1.3 geïmplementeerd moet zijn, en op welke wijze dit bewerkstelligd kan worden.
- TLS-configuraties ‘Uit te faseren’, zoals TLS1.0 en TLS1.1
- Opzet en structuur
- Veilige en betrouwbare e-mail (SPF, DKIM en DMARC)
- Afspraken maken o.b.v. huidige informatie en materialen
Naar aanleiding van de voorgaande presentatie en nieuwe informatie en materialen, kunnen afspraken gemaakt worden. Deze kunnen als eis opgenomen worden in de voorschriften.
Doel: verkennen welke eisen we willen vaststellen en welke informatie en materialen daarvoor beschikbaar gesteld kunnen worden. - Vervolg
Doel: bepalen welke acties er nodig zijn om tot een complete set van eisen, en benodigde informatie en materialen te komen.
- Afspraken maken o.b.v. huidige informatie en materialen
- Afsluiting
- Andere onderwerpen?
- Volgende bijeenkomst